125413 Letture

Mostrare le password nascoste sotto asterischi e puntini nel browser web

Tutti i principali browser web disponibili sul mercato dispongono di un password manager ossia di una speciale funzionalità che si occupa, quando richiesto dall'utente, di memorizzare le credenziali d'accesso utilizzate per effettuare il login sui vari siti. In questo modo, non appena, durante una successiva sessione di lavoro ci si ricollegherà alla medesima pagina per il login, il browser predisporrà automaticamente – nei campi corrispondenti – il nome utente e la password precedentementi memorizzati.

Quando si lascia che il browser memorizzi le password è bene comunque tenere a mente che tali informazioni sono ben lungi dell'essere adeguatamente protette. E ciò non soltanto perché la maggior parte degli utenti non imposta una "master password", una parola chiave a protezione dell'intero archivio dei dati di autenticazione del browser ma perché tali informazioni possono essere facilmente recuperate.

Un software come WebBrowserPassView, ad esempio, consente di recuperare le password da browser quali Internet Explorer, Firefox, Chrome ed Opera avviando una semplice applicazione (l'abbiamo presentata nel dettaglio nell'articolo Mettere al sicuro le credenziali d'accesso con KeePass. Come importarle da qualunque browser). Il programma, però, non è attualmente capace di esporre in chiaro tutti i dati che siano stati protetti ricorrendo ad una "master password". In altre parole, se l'utente utilizza un browser web che consente di proteggere i dati di autenticazione precedentemente memorizzati ricorrendo ad una password principale, WebBrowserPassView attualmente non può nulla dal momento che i dati sono salvati su disco in forma cifrata.

Per i tecnici di Google, però, l'utilizzo di una "master password" infonderebbe negli utenti un falso senso di sicurezza. È proprio questo il motivo per cui, ad esempio, in Google Chrome manca del tutto la possibilità di impostare una password a protezione del proprio archivio dei dati di autenticazione.
In Chrome si è quindi preferito utilizzare una funzione API di Windows che rende possibile la decifratura del file contenente le password memorizzate dal browser solo utilizzando lo stesso account utente Windows.
Il problema, nel caso di Chrome, è che chiunque riesca ad accedere a Windows utilizzando uno degli account utente configurati sul sistema locale, potrà riuscire a mettere le mani sui dati di autenticazione. Va ricordato, a tal proposito, come le password associate agli account Windows locali possano essere agevolmente modificate od azzerate utilizzando apposite utilità (avevamo spiegato come modificare o azzerare le password degli account Windows nell'articolo Windows: cambiare la password di qualunque account dalla schermata di login e nel servizio Modificare od azzerare le password degli account Windows con Ubuntu live).


Ed anche quando si protegge l'archivio dei dati di autenticazione con una "master password", chi dovesse riuscire ad utilizzare l'account dell'utente, può utilizzare un semplice trucco che sfrutta proprio l'autocomposizione automatica dei moduli online.

In cosa consiste? Quando si visita una qualunque pagina dalla quale si può effettuare il login, il browser completa automaticamente i campi "nome utente" e "password". Nella casella relativa alla password, il browser inserisce dei puntini in modo tale che un'altra persona, situata nelle vicinanze, non possa immediatamente accorgersi della parola chiave scelta.

Cliccando con il tasto destro del mouse sulla casella "Password", quindi selezionando Ispeziona elemento, il browser mostrerà il sorgente della pagina evidenziando la riga HTML che provoca la comparsa della casella per l'inserimento della parola chiave:

In figura abbiamo rappresentato ciò che accade utilizzando Google Chrome ma la procedura è sostanzialmente la stessa da seguire, ad esempio, con Mozilla Firefox. In questo caso, bisognerà semplicemente accertarsi, dopo aver selezionato la voce Analizza elemento, di fare clic sul pulsante "Pannello codice" in basso a sinistra (accanto al pulsante "HTML") oppure premere la combinazione di tasti ALT+C):

Facendo doppio clic sul parametro type="password" si dovrà modificarlo, semplicemente, in type="text" e premere il tasto Invio.
Come per magia, apparirà la password precedentemente memorizzata dal browser in chiaro (i puntini presenti nel campo "Password" risulteranno scomparsi):

Per trovare password nascoste da asterischi o puntini il semplice trucco può essere molto più rapido rispetto alla consultazione dell'archivio mantenuto dal browser.
Niente magia, comunque. Le versioni più recenti di browser quali Google Chrome e Mozilla Firefox consentono di modificare il DOM (Document Object Model) di qualunque pagina. Nel nostro caso ci si è limitati a trasformare un campo "input" variandone la tipologia: se, secondo le specifiche HTML, un campo di tipo "password" mostra un asterisco od un puntino ad ogni carattere digitato, un campo "text" è una cella di testo tradizionale che mostra in forma palese qualunque termine digitato (provate ad esempio a modificare i campi "text" in "password" presenti in questa pagina cliccando poi Edit and click me).


Anche gli utenti di Internet Explorer possono raggiungere il medesimo obiettivo premendo il tasto F12 quindi selezionando il comando Seleziona elemento con un clic dal menù Trova:

Dopo aver fatto clic sul campo "Password", si potrà modificare il parametro type="password" trasformandolo in type="text".

Morale? Le password memorizzate nel browser non possono mai essere considerate come al sicuro a meno che non si valutino soluzioni per la crittografia dell'intera unità disco o della partizione ove è installato il browser.


  1. Avatar
    Michele Nasi
    21/03/2015 10:15:37
    Ritengo corretta l'ultima frase. Se crittografi l'intera unità disco utilizzando un algoritmo sicuro, non soggetto a vulnerabilità note, il contenuto dell'hard disk non sarà accessibile da persone non autorizzate. Diverso il caso di un sistema il cui file system non è crittografato: effettuando il boot, ad esempio, da un qualunque disco di emergenza è pressoché immediato recuperare qualunque file, archivi delle password compresi. Puoi chiarire la tua asserzione?
  2. Avatar
    trollbig
    21/03/2015 05:24:06
    Se pur l'articolo poteva essere buono nell ultima parte hai detto una grande cazzata aahahhahah crittografare l'intero disco me che dici ahaahahh ma non basta ahahahha
  3. Avatar
    Giallu
    07/10/2012 17:38:35
    Citazione: No, assolutamente. L'articolo non vuole spiegare come aggirare le funzionalità di protezione dei dati personali offerte da nessun prodotto. Piuttosto, si cerca di evidenziare come la memorizzazione delle informazioni di autenticazione nel browser possa essere una prassi potenzialmente insicura.
    Ciao Michele. Assolutamente l'articolo l'ho visto positivo. Inizialmente pensavo che era una soluzione per chi si fosse scordato la password manager. Almeno per recuperarle. Ovviamente usando Firefox per cercare le password uso il cerca dentro "password salvate". Certamente non è piacevole per la sicurezza però utile da come spiegavi. Parlando di Firefox se si mette una password per proteggerla questo sistema non funziona, poi sai benissimo che la maggiore sicurezza viene dall'amministratore del PC. Bye. :)
  4. Avatar
    Michele Nasi
    07/10/2012 16:42:03
    No, assolutamente. L'articolo non vuole spiegare come aggirare le funzionalità di protezione dei dati personali offerte da nessun prodotto. Piuttosto, si cerca di evidenziare come la memorizzazione delle informazioni di autenticazione nel browser possa essere una prassi potenzialmente insicura. A tal proposito, abbiamo parlato dei vari approcci utilizzati e, per esempio, della posizione di Google. Recuperare "al volo" una password utilizzando il semplice metodo illustrato, d'altra parte, potrebbe essere molto utile - per esempio - a chi non volesse aprire il password manager evitando di effettuare una ricerca all'interno di una lunga lista di credenziali d'accesso.
  5. Avatar
    Giallu
    07/10/2012 14:40:27
    Citazione: Perdonami ma non ho capito il tuo intervento. Tutti i browser web, Firefox compreso, consentono di memorizzare i dati di autenticazione all'interno del "password manager" integrato. Il suggerimento che ho qui illustrato permette di visualizzare immediatamente una password "nascosta" sotto gli asterischi o "i puntini" senza accedere al password manager. Nel caso di Firefox funziona con tutte le versioni del browser, comprese le più recenti (ad esempio l'ultima, la 15.0.1). Magari aggiungerò un paio di screenshot per esplicitare meglio la procedura da seguire.
    Scusami Michele sicuramente mi sono spiegato male. L'articolo che hai o avete fatto fà vedere nel momento in cui appaiono gli asterischi la possibilità di vedere cosa c'è di nascosto senza sapere la manager password. Come aggirarci. Giusto? Pure per risolvere il problema ha chi dimentica il seriale di sicurezza. Allora se ci fai caso con Firefox adesso se imposti la password manager di sicurezza. Se apri qualsiasi pagina dove è memorizzato il login di accesso non viene visializzato nessuna stellina per intenderci fino a che non s'inserisce la password di protezione. Me spieghi come fai ad entrarci ?? Io la prova lo fatta e non esce niente ovviamente se non ci sono le stelline. Perchè se noterai Firefox inserirà le stelline solo quando inserisci la password. Poi caro Michele perchè fare questo quando hai avuto accesso puoi semplicemente entrare dove sono le password?? Bye. :)
  6. Avatar
    Michele Nasi
    07/10/2012 11:22:24
    Perdonami ma non ho capito il tuo intervento. Tutti i browser web, Firefox compreso, consentono di memorizzare i dati di autenticazione all'interno del "password manager" integrato. Il suggerimento che ho qui illustrato permette di visualizzare immediatamente una password "nascosta" sotto gli asterischi o "i puntini" senza accedere al password manager. Nel caso di Firefox funziona con tutte le versioni del browser, comprese le più recenti (ad esempio l'ultima, la 15.0.1). Magari aggiungerò un paio di screenshot per esplicitare meglio la procedura da seguire.
  7. Avatar
    Giallu
    07/10/2012 10:38:58
    Ciao Michele. Mi dispiace ma sull'ultima versione di Firefox se si apre una pagina con avendo inserito la manager password, te la chiede sempre. E non inserisce mai nessuna password. Almeno che non inserisci la manager. :disapprovato: Poi se inserisci la manager password puoi tranquillamente vedere tutte le password da Strumenti => Opzioni => Sicurezza. Allora tutta la procedura che avete mensionato vale solo per le vecchie versioni di Firefox, infatti serviva solo ad non far accedere al contenuto delle password. Adesso non più. Bye. :D
Mostrare le password nascoste sotto asterischi e puntini nel browser web - IlSoftware.it